查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
《网络安全法》简评
【作者】 唐志华;张驰;孙冠绯【合作机构】 北京市汉坤律师事务所
【主题分类】 行政管理【发布时间】 2016.11.10
【全文】法宝引证码CLI.A.220701    
  2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议,通过了历经三审稿的《中华人民共和国网络安全法》(“《网络安全法》”)。《网络安全法》全文共七章、七十九条,自2017年6月1日起施行。
  《网络安全法》适用于在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。本文对《网络安全法》下的重要制度和亮点做了相关梳理和总结。
  一强调网络空间主权和国家网络空间安全
  随着互联网和信息技术的持续发展,国家网络空间主权面临严峻挑战。全球互联网环境表面风平浪静,实则暗涌波涛。网络空间安全已成为一项关乎国家主权、安全和利益的重大议题,全球范围内各国均在积极制定和构建维护网络空间安全方面的法律措施和监管体系。
  以欧盟为例,欧盟最高司法机构欧洲法院于2015年10月作出判决,认定欧美2000年签署的关于自动交换数据的《安全港协议》无效;2016年4月,欧洲议会通过了商讨近四年的《一般数据保护条例》,堪称史上最严格的个人数据保护条例;2016年7月欧洲议会通过了《网络与信息安全指令》,标志欧盟层面首部网络安全法案正式出台。
  在此背景下,我国于2015年7月通过了新的《国家安全法》,第一次明确“网络空间主权”概念。2016年7月颁布的《国家信息化发展战略纲要》强调,在推进国家信息化建设过程中维护国家网络空间主权、安全和发展利益,并加快制定网络安全立法。
  本次公布的《网络安全法》遵循了国家坚持网络安全与信息化并重的宏观发展思路,并在关键信息基础设施保护、网络信息安全、监测预警与应急处置以及法律责任等方面落实了相关规则和措施,尤其是在最终稿中追加针对境外主体的追责措施[1],有利于增强网络空间主权的防御能力和威慑能力。
  二实施网络安全等级保护制度
  《网络安全法》要求实行网络安全等级保护制度[2]。建立安全等级保护制度并非《网络安全法》首次提出的新要求。
  公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委在2007年制定《信息安全等级保护管理办法》七条中,将信息系统的安全保护等级分为五级,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作;信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合该办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评,并履行相应备案手续。
  相关行业主管部门还在2007年《信息安全等级保护管理办法》的基础之上,出台了加强本行业信息安全工作的指引和规范,如教育部于2009年11月发布《教育部办公厅关于开展信息系统安全等级保护工作的通知》,要求高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续;卫生部于2011年11月发布《卫生行业信息安全等级保护工作的指导意见》,要求第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。因此,属于特定行业的单位在其信息系统达到一定安全等级时,将归入公安部门和行业主管部门的双重监管之下。
  此外,工业信息化部于2010年1月颁布的《通信安全防护管理办法》还要求中华人民共和国境内的电信业务经营者和互联网域名服务提供者,对本单位已正式投入运行的通信网络进行单元划分,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度由低到高分别划分为五级,并向电信管理机构履行相应的备案手续、落实安全防护措施和进行符合性测评。
  《网络安全法》作为我国首部网络安全专门性法律,首次以法律形式要求国家实行网络安全等级保护制度[3],但《网络安全法》并未明确网络安全等级制度所具体参照的办法和标准,所以在未来的实际操作上是沿袭目前公安部牵头、各行业主管部门辅助的双轨监管模式,还是会后续制定统一的网络安全分级管理办法,尚有待进一步观察。
  三对关键信息基础设施实行重点保护
  《网络安全法》引入了“关键信息基础设施”的概念,并在前述网络安全等级保护制度的基础之上实行重点保护。“关键信息基础设施”作为关乎国家安全和利益的战略性资源,其重要性无需多言,对“关键信息基础设施”在法律和制度层面进行重点保护乃是目前各国立法的大势所趋。
  从一审稿到三审稿,“关键信息基础设施”的定义经历了一波三折的纠结过程。正式稿最终采用非穷尽式列举的方式对其进行了定义:“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。关键信息基础设施的具体范围和安全保护办法由国务院制定。前述定义,一方面通过行业列举大体勾勒出“关键信息基础设施”的属性,另一方面也为国务院后续进一步界定“关键信息基础设施”的具体范围和制定安全保护办法保留了空间和灵活性。
  《网络安全法》对“关

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】 [1]《网络安全法》第七十五条,境外主体从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。 [2]《网络安全法》第二十一条。 [3]《网络安全法》第二十一条。 [4]《网络安全法》第六十六条。 [5]《外国投资法(草案)》第四章。 [6]《电信和互联网用户个人信息保护规定》第四条。 [7]《网络安全法》第四十至四十五条。 [8]《网络安全法》第六十三条。 [9]《网络安全法》第二十五条。 [10]《网络安全法》第五章。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.220701      关注法宝动态:  

法宝联想
【该律所其他文章】
【主题分类其他文章】
【本篇引用法规】

热门视频更多